เมื่อใดก็ตามที่ผมทำงานตัวช่วยสร้างผลนโยบายกลุ่มและเลือก Domain Controller เป็นเครื่องคอมพิวเตอร์เป้าหมายการแสดงสรุปBUILTIN\Administratorsในรายการของ "การรักษาความปลอดภัยกลุ่มสมาชิกเมื่อนโยบายกลุ่มถูกนำมาใช้" ภายใต้การกำหนดค่าคอมพิวเตอร์ที่แสดงด้านล่าง:
(เหลือชื่อโดเมนผู้ใช้และคอมพิวเตอร์)
เนื่องจาก Domain Controllers ไม่ได้เป็นสมาชิกของผู้ดูแลระบบ (อย่างน้อยไม่ได้มาจากสิ่งที่ฉันเห็นใน ADUC) คำถามของฉันคืออะไรทำไม?
ตัวควบคุมโดเมนจริง ๆ แล้วเป็นสมาชิกของกลุ่มผู้ดูแลหรือ GPResults ผิด (และทำไม)
คำตอบ:
ใช่คุณเห็นว่าถูกต้อง
มาทำการทดลองกัน
คว้า psexec จาก Sysinternals ถ่ายโอนไปยังตัวควบคุมโดเมนของคุณ
ทำงานpsexec -s -i cmd.exeบนโดเมนคอนโทรลเลอร์ของคุณ
ตอนนี้ในใหม่ของคุณพร้อมรับคำสั่งพิมพ์และwhoami whoami /groupsคุณจะเห็นว่าตอนนี้คุณเป็นบัญชีระบบบนตัวควบคุมโดเมนของคุณ (หรือที่รู้จักว่า DC01 $) และคุณเป็นสมาชิกของกลุ่ม Builtin \ Administrators
กลุ่มบิวด์อินเหล่านั้นจะถูกแชร์ระหว่างตัวควบคุมโดเมน ดังนั้นนี่คือสิ่งที่เรียบร้อย:
พิมพ์start \\DC02\c$จากพรอมต์คำสั่งของคุณ ควรเปิดใช้ Windows Explorer บนตัวควบคุมโดเมนอื่นของคุณเนื่องจากคุณ (DC01 $) เป็นผู้ดูแลระบบ DC นั้นด้วยเช่นกัน!
ตัวควบคุมโดเมนไม่มี SAM ท้องถิ่นในลักษณะเดียวกับที่เครื่อง Windows ทั่วไปทำ (ทำได้ดี แต่ใช้เฉพาะในโหมดกู้คืน) พวกเขาทุกคนใช้กลุ่ม AD Builtin ร่วมกันและเนื่องจากระบบ Windows จำเป็นต้องเป็นผู้ดูแลระบบของตัวเองเพื่อให้สามารถทำงานได้เช่นเดียวกับบัญชี SYSTEM บนเครื่อง Windows อื่น ๆ ที่ทำให้เรามีผลข้างเคียงที่น่าสนใจที่ผู้ควบคุมโดเมนทุกคนต้องเป็นผู้ดูแลระบบ
แก้ไข: ทำความสะอาดเพื่อลูกหลาน